Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

Dependabotアラートの表示と更新

GitHub Enterprise Server がプロジェクト内の脆弱性のある依存関係を発見した場合は、それらをリポジトリの [Dependabot alerts] タブで確認できます。 その後、プロジェクトを更新してこの脆弱性を解決することができます。

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

Note: Your site administrator must set up Dependabot updates for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Enabling Dependabot for your enterprise."

リポジトリのDependabotアラートタブには、オープン及びクローズされたすべてのDependabotアラート及び対応するDependabotセキュリティアップデートがリストされます。 アラートのリストはソートでき、特定のアラートをクリックして詳細を見ていくことができます。 詳しい情報については「Dependabotアラートについて」を参照してください。

Dependabotアラート と依存関係グラフを使用するリポジトリの自動セキュリティ更新を有効にすることができます。 詳しい情報については、「Dependabotセキュリティアップデート について」を参照してください。

加えて、 GitHubは、リポジトリのデフォルトブランチに対して作成されたPull Request中で追加、更新、削除された依存関係のレビューを行うことができ、プロジェクトに脆弱性をもたらすような変更にフラグを立てることができます。 これによって、脆弱な依存関係がコードベースに達したあとではなく、達する前に特定して対処できるようになります。 詳しい情報については「Pull Request中の依存関係の変更のレビュー」を参照してください。

リポジトリ内の脆弱性のある依存関係の更新について

コードベースが既知の脆弱性のある依存関係を使用していることを検出すると、GitHub Enterprise Server は Dependabotアラート を生成します。 Dependabotセキュリティアップデート が有効になっているリポジトリの場合、GitHub Enterprise Server がデフォルトのブランチで脆弱性のある依存関係を検出すると、Dependabot はそれを修正するためのプルリクエストを作成します。 プルリクエストは、脆弱性を回避するために必要最低限の安全なバージョンに依存関係をアップグレードします。

脆弱性のある依存関係の表示

  1. your GitHub Enterprise Server instanceで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. セキュリティサイドバーで、Dependabotアラートをクリックしてください。 If this option is missing, it means you don't have access to security alerts and need to be given access. For more information, see "Managing security and analysis settings for your repository."Dependabotアラート tab
  4. 表示したいアラートをクリックします。 アラートリストで選択されたアラート

脆弱性のある依存関係のレビューと修正

すべての依存関係がセキュリティの弱点を確実に持たないようにすることが重要です。 Dependabotが脆弱性を依存関係に見つけた場合、プロジェクトの露出のレベルを評価し、アプリケーションをセキュアにするための修復ステップを決定しなければなりません。

パッチされたバージョンが利用できるなら、Dependabot Pull Requestを生成し、Dependabotアラートから直接その依存関係を更新できます。 Dependabotセキュリティアップデートを有効にしているなら、Pull RequestはDependabotアラートとリンクされるかもしれません。

パッチが適用されたバージョンが利用できない場合、あるいはセキュアなバージョンへ更新できない場合、Dependabotは次のステップを判断するための役に立つ追加情報を共有します。 Dependabotアラートを見るためにクリックしていくと、影響される関数を含む依存関係に対するセキュリティアドバイザリの完全な詳細を見ることができます。 そして、自分のコードが影響を受けた関数を呼び出しているかをチェックできます。 この情報は、リスクレベルをさらに評価し、回避策を決めたり、あるいはそのセキュリティ脆弱性が示すリスクを受け入れることができるかどうかを決めるための役に立ちます。

脆弱性のある依存関係の修復

  1. アラートの詳細を表示させます。 詳しい情報については上の「脆弱性のある依存関係の表示」を参照してください。

  2. Dependabotセキュリティアップデートを有効にしているなら、その依存関係を修復するPull Requestへのリンクがあるかもしれません。 あるいは、アラートの詳細ページの上部にあるCreate Dependabot security updateをクリックして、Pull Requestを作成することもできます。 Dependabot セキュリティアップデートボタンを作成

  3. あるいは、Dependabotセキュリティアップデートを使っていないなら、ページにある情報を使ってアップグレードすべき依存関係のバージョンを判断し、セキュアなバージョンへ依存関係を更新するためのPull Requestを作成できます。

  4. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。

    Dependabot によって発行される各プルリクエストには、Dependabot の制御に使用できるコマンドの情報が含まれています。 詳しい情報については、「依存関係の更新に関するプルリクエストを管理する 」を参照してください。

Dependabotアラートの却下

依存関係のアップグレードのための広汎な作業をスケジュールしていたり、アラートを修正する必要はないと判断したりした場合、アラートを却下できます。 すでに評価済みのアラートを却下すると、新しいアラートが現れたときにトリアージしやすくなります。

  1. アラートの詳細を表示させます。 詳しい情報については上の「脆弱性のある依存関係の表示」を参照してください。
  2. "Dismiss(却下)"ドロップダウンを選択し、アラートを却下する理由をクリックしてください。 [Dismiss] ドロップダウンでアラートを却下する理由を選択する